Le GDPR, ou General Data Protection Regulation, est le nouveau règlement européen adopté en décembre 2015 et qui s’appliquera dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne. Il repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles.
Cette règlementation s’applique à toutes les entreprises publiques et privées qui collectent des données numériques personnelles de clients, prospects ou partenaires. Le GDPR veille à la protection des données personnelles en garantissant que la collecte des données s’est faite avec le consentement éclairé et informé des individus. Ainsi les entreprises devront pouvoir à tout moment prouver la traçabilité des consentements et le traitement de ceux-ci.
Dans la continuité de la règlementation eIDAS, la commission Européenne continue à harmoniser les réglementations nationales des pays membres en répondant aux besoins des entreprises. En effet, plus de 90% des entreprises européennes souhaitent avoir une loi commune sur la protection des données à caractère personnel. Et pour cause, chaque pays membre possède des lois différentes sur le traitement et la sécurité des données. Par exemple, en Espagne la signature électronique ne pouvait s’effectuer que via un certificat remis en face à face basé sur un Support durable (SSCD), en Belgique seuls certains documents ne pouvaient être signés électroniquement et uniquement en utilisant le certificat de signature embarqué sur la carte d’identité électronique des citoyens Belges qui nécessite un lecteur de carte spécifique.
Cette nouvelle réglementation GDPR viendra remplacer la directive datant de 1995 sur la protection des données qui définissait le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique, parmi lesquels le droit d'accès et de rectification aux données, le principe du consentement, etc. Ce cadre juridique a permis à chaque membre de l’UE une transposition dans son droit national. Prenons l’exemple de la loi informatique et liberté pour la France. Dans cette logique, l’article 28 de la directive demande à chaque État membre d'instituer une autorité de protection des données personnelles, sur le modèle général de la Commission nationale Informatique et libertés (CNIL) établie en France.
L’impact direct pour la France est que le GDPR va contraindre l’entreprise à définir le niveau le plus élevé d’utilisation des données personnelles recueillis. Ainsi, à chaque nouvelle souscription ou adhésion à un produit ou service, l’entreprise devra obtenir le consentement express et spécifique de l’utilisateur. Le traitement de ces données devra concerner uniquement les données dites « nécessaires » au bon fonctionnement du produit ou du service.
Le dernier impact est humain. En effet, des recrutements sont à prévoir dans la mesure où cette réglementation oblige les établissements publics et les entreprises qui réalisent des traitements à grande échelle sur les données personnelles à nommer un DPO (Data Protection Officer) qui sera le garant légal de la conformité GDPR. Etant donné le nombre important d’organisations de ce type en France, nous devrions assister à de nombreuses créations de poste dans les prochains mois.
Cette réglementation a pour vocation de renforcer les protections des données individuelles, considérant que si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers de confiance reconnue dans la « Trusted list » - liste de confiance comprenant des tiers certificateurs ou des autorités d’enregistrement pour le compte d’un tiers de confiance - pourraient potentiellement le faire. Pour assurer la mise en œuvre rapide de la réglementation GDPR, Bruxelles utilise la manière forte, puisqu’elle prévoit des amendes pouvant aller jusque 4% du chiffre d’affaires annuelle de l’entreprise. Dans ce contexte il est urgent pour les entreprises traitant des données en masse de se mettre en ordre de marche.